从RDP爆破定位内部攻击者(2)

找到了进程id为100730的npc进程。
（2）找到异常进程

根据异常连接找到了进程，npc是内网穿透工具nps的客户端代理.
https://github.com/ehang-io/nps/releases
这里是客户端，那么，意味着还有一个服务端，顺着进程参数所带的域名，找到服务端IP地址，访问8080端口，找到nps的web管理页面。

（3）找到原因
通过爆破nps的web管理页面，获取用户密码，进入控制台查看。发现安装了npc客户端的服务器，并且建立了TCP隧道，将内网服务器的3389端口映射到了公网的12345端口。由于远程管理端口发布到了，导致每天都会有不同的ip尝试爆破，通过TCP隧道访问目标端口，在目标服务器安全日志里留下的只有作为客户端代理服务器的ip地址。